Share via

Verifikasi Tanda Tangan Permintaan SAML

  • Artikel

Verifikasi Tanda Tangan Permintaan SAML adalah fungsionalitas yang memvalidasi tanda tangan dari permintaan autentikasi yang ditandatangani. Admin Aplikasi sekarang dapat mengaktifkan dan menonaktifkan penerapan permintaan yang ditandatangani dan mengunggah kunci publik yang harus digunakan untuk melakukan validasi.

Jika diaktifkan, MICROSOFT Entra ID memvalidasi permintaan terhadap kunci publik yang dikonfigurasi. Ada beberapa skenario di mana permintaan autentikasi dapat gagal:

  • Protokol tidak diizinkan untuk permintaan yang ditandatangani. Hanya protokol SAML yang didukung.
  • Permintaan tidak ditandatangani, tetapi verifikasi diaktifkan.
  • Tidak ada sertifikat verifikasi yang dikonfigurasi untuk verifikasi tanda tangan permintaan SAML. Untuk informasi selengkapnya tentang persyaratan sertifikat, lihat Opsi penandatanganan sertifikat.
  • Verifikasi tanda tangan gagal.
  • Pengidentifikasi kunci dalam permintaan tidak ada dan dua sertifikat yang terakhir ditambahkan tidak cocok dengan tanda tangan permintaan.
  • Permintaan ditandatangani tetapi algoritma hilang.
  • Tidak ada sertifikat yang cocok dengan pengidentifikasi kunci yang disediakan.
  • Algoritma tanda tangan tidak diperbolehkan. Hanya RSA-SHA256 yang didukung.

Catatan

Elemen Signature dalam elemen AuthnRequest bersifat opsional. Jika Require Verification certificates tidak dicentang, ID Microsoft Entra tidak memvalidasi permintaan autentikasi yang ditandatangani jika tanda tangan ada. Verifikasi pemohon disediakan hanya dengan menanggapi URL Layanan Tuntutan Konsumen yang terdaftar.

Jika Require Verification certificates dicentang, Verifikasi Tanda Tangan Permintaan SAML hanya akan berfungsi untuk permintaan autentikasi yang dimulai SP(penyedia layanan/pihak yang mengandalkan). Hanya aplikasi yang dikonfigurasi oleh penyedia layanan yang akan memiliki akses ke kunci privat dan publik untuk menandatangani Permintaan Autentikasi SAML masuk dari aplikasi. Kunci publik harus diunggah untuk mengizinkan verifikasi permintaan, dalam hal ini ID Microsoft Entra hanya akan memiliki akses ke kunci publik.

Mengaktifkan Require Verification certificates tidak akan mengizinkan permintaan autentikasi yang dimulai IDP (seperti fitur pengujian SSO, peluncur aplikasi MyApps atau M365) untuk divalidasi karena IDP tidak akan memiliki kunci privat yang sama dengan aplikasi terdaftar.

Prasyarat

Untuk mengonfigurasi verifikasi tanda tangan permintaan SAML, Anda perlu:

  • Akun pengguna Microsoft Entra. Jika Anda belum memilikinya, Anda dapat Membuat akun secara gratis.
  • Salah satu peran berikut: Administrator Aplikasi Cloud, Administrator Aplikasi, atau pemilik perwakilan layanan.

Tip

Langkah-langkah dalam artikel ini mungkin sedikit berbeda berdasarkan portal tempat Anda memulai.

Mengonfigurasi Verifikasi Tanda Tangan Permintaan SAML

  1. Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Aplikasi Cloud.

  2. Telusuri aplikasi Identity>Applications>Enterprise>Semua aplikasi.

  3. Masukkan nama aplikasi yang ada di kotak pencarian, lalu pilih aplikasi dari hasil pencarian.

  4. Buka Akses menyeluruh.

  5. Di layar Akses menyeluruh, gulir ke subbagian yang disebut Sertifikat verifikasi di bawah Sertifikat SAML.

    Cuplikan layar sertifikat verifikasi di bawah Sertifikat SAML di halaman Aplikasi Perusahaan.

  6. Pilih Edit.

  7. Di bilah baru, Anda dapat mengaktifkan verifikasi permintaan yang ditandatangani dan ikut serta untuk verifikasi algoritma yang lemah jika aplikasi Anda masih menggunakan RSA-SHA1 untuk menandatangani permintaan autentikasi.

  8. Untuk mengaktifkan verifikasi permintaan yang ditandatangani, pilih Wajibkan sertifikat verifikasi dan unggah kunci publik verifikasi yang cocok dengan kunci privat yang digunakan untuk menandatangani permintaan.

    Cuplikan layar memerlukan sertifikat verifikasi di halaman Aplikasi Perusahaan.

  9. Setelah sertifikat verifikasi Anda diunggah, pilih Simpan.

  10. Ketika verifikasi permintaan yang ditandatangani diaktifkan, pengalaman pengujian dinonaktifkan karena permintaan harus ditandatangani oleh penyedia layanan.

    Cuplikan layar pengujian peringatan yang dinonaktifkan saat permintaan yang ditandatangani diaktifkan di halaman Aplikasi Perusahaan.

  11. Jika ingin melihat konfigurasi aplikasi perusahaan saat ini, Anda dapat membuka layar Akses Menyeluruh dan melihat ringkasan konfigurasi Anda di bagian Sertifikat SAML. Di sana Anda dapat melihat apakah verifikasi permintaan yang ditandatangani diaktifkan dan jumlah sertifikat verifikasi Aktif dan Kedaluwarsa.

    Cuplikan layar konfigurasi aplikasi perusahaan di layar akses menyeluruh.

Langkah berikutnya